По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.
Если превысить эту квоту, то при добавлении компьютера в домен пользователь получит сообщение о ошибке :
Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение. |
За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем, а только существующие в домене на данный момент.
Есть несколько способов обойти квоту.
Предварительное создание учетной записи компьютера
- Открываем оснастку «Active Directory — пользователи и компьютеры».
- Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
- В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
- Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
- Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.
Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.
Делегирование прав на создание и удаление учетных записей компьютеров
- Открываем оснастку «Active Directory — пользователи и компьютеры».
- Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
- В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.
- В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.
- Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».
- Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.
По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.
Изменение установленной по умолчанию квоты
- Заходим в меню Пуск — Администрирование и выбираем пункт «Редактирование ADSI» (ADSIEdit).
- Подключаемся к контесту именования домена по умолчанию.
- Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».
- Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.
- Сохраняем значение и закрываем оснастку. Квота на добавление компьютеров изменена, причем изменения будут действовать на всех пользователей, прошедших проверку (группа Autentificated Users).
Способ довольно экстремальный, ведь ADSIEdit — инструмент очень мощный, и его неправильное применение может привести к серьезным последствиям. Хотя, если четко понимать свои действия, то этот пособ ничем не хуже остальных. В любом случае выбирать вам.
Первый способ не работает! При изменении подключения самого компьютера с рабочей группы в домен требуется логин и пароль учетной записи в домене с правами на эту операцию.